1、5.1 附件1华能电力网络安全项目技术规范书华能电力网络安全处理方案11.背景介绍31.1.项目总述31.2.网络环境总述31.3.信息安全方案组成41.3.1.信息安全产品选型标准41.3.2.网络安全现实状况51.3.3.经典黑客攻击51.3.4.网络和信息安全平台任务71.3.5.网络安全处理方案组成71.3.6.超高安全要求下网络保护92.安全架构分析和设计112.1.网络整体结构112.2.集中管理和分级管理122.3.华能电力网络安全系统管理中心网络132.4.各地方企业和电厂网络设计132.5.和Internet相连外部网络设计143.产品选型153.1.防火墙选型153.1.1
2、.方正数码企业介绍153.1.2.产品概述163.1.3.系统特点163.1.4.方正方御防火墙功效说明203.2.入侵检测产品选型273.2.1.启明星辰企业介绍283.2.2.入侵检测系统介绍283.2.3.天阗(tian)黑客入侵检测系统功效特点293.3.防病毒产品选型313.3.1.病毒介绍313.3.2.为何使用CA企业Kill网络防病毒353.3.3.KILL技术和优势363.3.4.KILL和其它同类产品比较相对优势383.3.5.KILL所取得权威机构认证393.3.6.KILL病毒防护系统布署方案394.工程实施方案424.1.测试及验收424.1.1.测试及验收描述424
3、.2.系统初验424.2.1.功效测试424.2.2.性能测试435.售后服务和技术支持435.1.为华能电力网络提供安全评定435.2.售后服务内容445.3.保修455.4.保修方法455.5.保修范围465.6.保修期确实定465.7.培训安排475.8.全国服务网络485.9.场地及环境准备485.9.1.常规要求485.9.2.机房电源、地线及同时要求485.9.3.设备场地、通信495.9.4.机房环境495.10.验收清单505.10.1.设备开箱验收清单505.10.2.用户信息清单515.10.3.用户验收清单526.方案整体优势527.方正方御防火墙荣誉证书54附录一:北京
4、威通网讯网络技术介绍1. 背景介绍1.1. 项目总述本项目是华能国际电力股份为其内网及下属电厂作网络安全保护中防火墙选型和实施部分(相关入侵检测系统和防病毒系统,我们提议使用启明星辰天阗黑客入侵检测和预警系统和冠群金辰kill网络防病毒系统)。华能国际电力股份网络整体结构是个经过WAN连接二级网络,整个网络分为内网和外网两个网,内外网之间物理隔离。网络中心和下属15个电厂经过网络进行数据传输,在网络每一级节点上含有一个局域网,在二级网络上运行着电力业务系统、办公自动化服务等1.2. 网络环境总述华能电力网络安全系统是非涉密内部业务工作处理网络,传输、处理、查询工作中非涉密信息。该网由和网络中心
5、和15个电厂单位组成。在给地方局域网出入口安装防火墙。在关键部位安放入侵检测系统,而且全部服务器和一般PC机需要安装防病毒软件。而且这些防火墙和入侵检测系统需要集中在数据中心进行管理和审计。1.3. 信息安全方案组成1.3.1. 信息安全产品选型标准华能电力网络安全系统是一个要求高可靠性和安全性网络系统,若干关键公文信息在网络传输过程中不可泄露,假如数据被黑客修改或删除,那么就会严重影响工作。所以华能电力网络安全系统安全产品选型事关重大,要提到国家战略高度来衡量,不然一旦被黑客或敌国攻入,其代价将是不能想象。华能电力网络安全系统网络安全系统方案必需遵照以下标准: 全局性标准:安全威胁来自最微弱
6、步骤,必需从全局出发计划安全系统。华能电力网络安全系统安全体系,遵照中心统一计划,各电厂分别实施标准。 综合性标准:网络安全不单靠技术方法,必需结合管理,目前中国发生网络安全问题中,管理问题占相当大百分比,在各地方建立网络安全设施体系同时必需建立对应制度和管理体系。 均衡性标准:安全方法实施必需以依据安全等级和经费程度统一考虑。网络中相同安全等级保密强度要一致。 节省性标准:整体方案设计应该尽可能不改变原来网络设备和环境,以免资源浪费和反复投资。 集中性标准:全部防火墙产品要求在数据中心能够进行集中管理,这么才能确保在数据中心服务器上能够掌握全局。 角色化标准:防火墙产品在管理上面不仅在数据中
7、心能够完全控制外,在地方还需要分配合适角色使地方能够在自己权利下修改和查看防火墙策略和审计。现在,很多公开新闻表明美国国家安全局(NSA)有可能在很多美国大软件企业产品中安装“后门”,其中包含部分应用广泛操作系统。为此德国军方前些时候甚至要求在全部牵涉到机密计算机里,不得使用美国操作系统。作为信息安全保障,我们在安全产品选型时强烈提议使用中国自主开发优异网络安全产品,将安全风险降至最低。在为各安全产品选型时,我们立足中国,同时确保所选产品优异性及可靠性,并要求经过国家各关键安全测评认证。1.3.2. 网络安全现实状况Internet正在越来越多地融入到社会各个方面。首先,伴随网络用户成份越来越
8、多样化,出于多种目标网络入侵和攻击越来越频繁;其次,伴随Internet和以电子商务为代表网络应用日益发展,Internet越来越深地渗透到各行各业关键要害领域。Internet安全包含其上信息数据安全,日益成为和政府、军队、企业、个人利益休戚相关“大事情”。尤其对于政府和军队而言,假如网络安全问题不能得到妥善处理,将会对国家安全带来严重威胁。二月,在三天时间里,黑客使美国数家顶级互联网站Yahoo!、Amazon、eBay、CNN陷入瘫痪,造成了十几亿美元损失,令美国上下如临大敌。黑客使用了DDoS(分布式拒绝服务)攻击手段,用大量无用信息阻塞网站服务器,使其不能提供正常服务。在随即不到30
9、天时间里,又前后有微软、ZDNet和E*TRADE等著名网站遭受攻击。中国网站也未能幸免于难,新浪、当当书店、EC123等著名网站也前后受到黑客攻击。中国第一家大型网上连锁商城IT163网站3月6日开始运行,然而仅四天,该商城突遭网上黑客攻击,界面文件全部被删除,多种数据库遭到不一样程度破坏,致使网站无法运作。客观地说,没有任何一个网络能够免受安全困扰,依据Financial Times曾做过统计,平均每20秒钟就有一个网络遭到入侵。仅在美国,每十二个月因为网络安全问题造成经济损失就超出100亿美元。1.3.3. 经典黑客攻击黑客们进行网络攻击目标多种多样,有是出于政治目标,有是职员内部破坏,
10、还有是出于好奇或满足自己虚荣心。伴随Internet高速发展,也出现了有明确军事目标军方黑客组织。在经典网络攻击中,黑客通常会采取以下步骤:自我隐藏,黑客使用经过rsh或telnet在以前攻克主机上跳转、经过失误配置proxy主机跳转等多种技术来隐藏她们IP地址,更高级一点黑客,精通利用电话交换侵入主机。网络侦探和信息搜集,在利用Internet开始对目标网络进行攻击前,经典黑客将会对网络外部主机进行部分初步探测。黑客通常在查找其它弱点之前首先试图搜集网络结构本身信息。经过查看上面查询来结果列表,通常很轻易建立一个主机列表而且开始了解主机之间联络。黑客在这个阶段使用部分简单命令来取得外部和内部
11、主机名称:比如,使用nslookup来实施 “ls ”, finger外部主机上用户等。确定信任网络组成,通常而言,网络中主控主机全部会受到良好安全保护,黑客对这些主机入侵是经过网络中主控主机信任成份来开始攻击,一个网络信任组员往往是主控主机或被认为是安全主机。黑客通常经过检验运行nfsd或mountd那些主机输出NFS开始入侵,有时候部分关键目录(比如/etc,/home)能被一个信任主机mount。确定网络组成弱点,假如一个黑客能建立你外部和内部主机列表,她就能够用扫描程序(如ADMhack, mscan, nmap等)来扫描部分特定远程弱点。开启扫描程序主机系统管理员通常全部不知道一个扫
12、描器已经在她主机上运行,因为ps和netstat全部被特洛伊化来隐藏扫描程序。在对外部主机扫描以后,黑客就会对主机是否易受攻击或安全有一个正确判定。有效利用网络组成弱点,当黑客确定了部分被信任外部主机,而且同时确定了部分在外部主机上弱点,她们就要尝试攻克主机了。黑客将攻击一个被信任外部主机,用它作为发动攻击内部网络据点。要攻击大多数网络组成,黑客就要使用程序来远程攻击在外部主机上运行易受攻击服务程序,这么例子包含易受攻击Sendmail,IMAP,POP3和诸如statd,mountd, pcnfsd 等RPC服务。取得对有弱点网络组成访问权,在攻克了一个服务程序后,黑客就要开始清除她在统计文
13、件中所留下痕迹,然后留下作后门二进制文件,使其以后能够不被发觉地访问该主机。现在,黑客关键攻击方法有:欺骗:经过伪造IP地址或盗用用户帐号等方法来取得对系统非授权使用,比如盗用拨号帐号。窃听:利用以太网广播特征,使用监听程序来截获经过网络数据包,对信息进行过滤和分析后得到有用信息,比如使用sniffer程序窃听用户密码。数据窃取:在信息共享和传输过程中,对信息进行非法复制,比如,非法拷贝网站数据库内关键商业信息,盗取网站用户个人信息等。数据篡改:在信息共享和传输过程中,对信息进行非法修改,比如,删除系统内关键文件,破坏网站数据库等。拒绝服务:使用大量无意义服务请求来占用系统网络带宽、CPU处理
14、能力和IO能力,造成系统瘫痪,无法对外提供服务。经典例子就是年初黑客对Yahoo等大型网站攻击。黑客攻击往往造成关键数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严重后果,假如是对军用和政府网络攻击,还会对国家安全造成严重威胁。1.3.4. 网络和信息安全平台任务网络和信息安全平台任务就是创建一个完善安全防护体系,对全部非法网络行为,如越权访问、病毒传输、恶意破坏等等,做到事前预防、事中报警并阻止,事后能有效将系统恢复。在上文对黑客行为描述中,我们能够看出,网络上任何一个安全漏洞全部会给黑客以可乘之机。著名木桶原理(木桶容量由其最短木板决定)在网络安全里尤其适用。所以,我们方案必需是一个
15、完整网络安全处理方案,对网络安全每一个步骤,全部要有仔细考虑。1.3.5. 网络安全处理方案组成针对前文对黑客入侵过程描述,为了更为有效确保网络安全,方正数码提出了两个理念:立体安全防护体系和安全服务支持。首先网络安全决不仅仅是一个防火墙,它应是包含入侵测检(IDS)、防病毒等功效在内立体安全防护体系;其次真正网络安全一定要配置完善高质量安全维护服务,以使安全产品充足发挥出其真正安全效力。一个好网络安全处理方案应该由以下多个部分组成:l 防火墙:对网络攻击阻隔防火墙是确保网络安全关键屏障。防火墙依据网络流起源和访问目标,对网络流进行限制,许可正当网络流,并严禁非法网络流。防火墙最大意义在网络边
16、界处提供统一安全策略,有效将复杂网络安全问题简化,大大降低管理成本和潜在风险。在应用防火墙技术时,正确划分网络边界和制订完善安全策略是至关关键。发展到今天,好防火墙往往集成了其它部分安全功效。比如方正方御防火墙在很好实现了防火墙功效同时,也实现了下面所说入侵检测功效;l 入侵检测(IDS):对攻击试探预警当黑客试探攻击时,大多采取部分已知攻击方法来试探。网络安全漏洞扫描器是“先敌发觉”,未雨绸缪。而从另外一个角度考虑问题,“实时监测”,发觉黑客攻击企图,对于网络安全来说也是很有意义。甚至由此派生出了P2DR理论。入侵检测系统经过扫描网络流里特征字段(网络入侵检测),或探测系统异常行为(主机入侵
17、检测),来发觉这类攻击存在。一旦被发觉,则报警并作出对应处理,同时能够依据预定方法自动反应,比如临时封掉提议该扫描IP。需要注意是,入侵检测系统现在不能,以后也极难,正确发觉黑客攻击痕迹。实际上,黑客能够将部分广为人知网络攻击进行部分较为复杂变形,就能做到没有入侵检测系统能够识别出来。所以,在应用入侵检测系统时,千万不要因为有了入侵检测系统,就不对系统中安全隐患进行立即补救。l 安全审计管理安全审计系统必需实时监测网络上和用户系统中发生各类和安全相关事件,如网络入侵、内部资料窃取、泄密行为、破坏行为、违规使用等,将这些情况真实统计,并能对于严重违规行为进行阻断。安全审计系统所做统计如同飞机上黑
18、匣子,在发生网络犯罪案件时能够提供宝贵侦破和取证辅助数据,并含有防销毁和篡改特征。安全审计跟踪机制内容是在安全审计跟踪中统计相关安全信息,而安全审计管理内容是分析和汇报从安全审计跟踪中得来信息。安全审计跟踪将考虑要选择统计什么信息和在什么条件下统计信息。搜集审计跟踪信息,经过列举被统计安全事件类别(比如对安全要求显著违反或成功操作完成),能适应多种不一样需要。已知安全审计存在可对一些潜在侵犯安全攻击源起到威摄作用。l 防病毒和特洛伊木马计算机病毒危害不言而喻,计算机病毒发展到今天,已经和特洛伊木马结合起来,成为黑客又一利器。微软原码失窃案,据信,就是一黑客使用特洛伊木马所为。l 安全策略实施确
19、保网络安全知识普及,网络安全策略严格实施,是网络安全最关键保障。另外,信息备份是信息安全最起码要求。能降低恶意网络攻击或意外灾难带来破坏性损失。1.3.6. 超高安全要求下网络保护对于华能电力网络安全系统数据中心安全而言,安全性需求就愈加高,属于超高安全要求下网络保护范围,所以需要在这些地方使用2台防火墙进行双机热备,以确保数据稳定传输。1.3.6.1. 认证和授权认证和授权是一切网络安全根基所在,尤其在网络安全管理、外部网络访问内部网络(包含拨号)时,要有很严格认证和授权机制,预防黑客假冒身份渗透进内部网络。对于内部访问,也要有完善网络行为审计统计和权限限定,预防由内部人员提议攻击70%以上
20、攻击全部是内部人员提议。我们提议华能电力网络安全系统利用基于X.509证书认证体系(现在最强认证体系)来进行认证。方正方御防火墙管理也是用X.509证书进行认证。1.1.1.1. 网络隔离网络安全界一个玩笑就是:要想安全,就不要插上网线。这是一个简单原理:假如网络是隔离开,那么网络攻击就失去了其存在介质,皮之不存,毛将焉附。但对于需要和外界沟通实际应用系统来说,完全物理隔离是行不通。方正数码提出了安全数据通道网络隔离处理方案,在网络连通条件下,经过破坏网络攻击得以进行另外两个关键条件: 从外部网络向内部网络提议连接 将可实施指令传送到内部网络从而确保华能电力网络安全系统安全。1.1.1.2.
21、实施确保华能电力网络安全系统牵涉网点众多,网络结构复杂。要保护这么一个繁杂网络系统网络安全,必需有完善管理确保。安全系统要能够提供统一集中灵活管理机制,首先要能让华能电力网络安全系统网控中心网管人员监控整体网络安全情况,另外首先,要能让地方网管人员灵活处理具体事务。方正方御防火墙采取基于Windows GUI用户界面进行远程集中式管理,配置管理界面直观,易于操作。能够经过一个控制机对多台方正方御防火墙进行集中式管理。方正方御防火墙符合国家最新防火墙安全标准,采取了三级权限机制,分为管理员,策略员和审计员。管理员负责防火墙开关及日常维护,策略员负责配置防火墙包过滤和入侵检测规则,审计员负责日志管
22、理和审计中授权机制,这么她们共同地负责起一个安全管理平台。实际上,方御防火墙是经过该标准认证第一个包过滤防火墙。另外,方正方御防火墙还提供了原标准中没有强制实施实施域分组授权机制,尤其适合于华能电力网络安全系统这么大型网络。2. 安全架构分析和设计逻辑上,华能电力网络安全系统将划分为三个区域:数据中心、局域网用户和外网。其中每一个局域网节点划分为内部操作(控制)区、信息共享区两个网段,网段之间设置安全隔离区。每一个网段必需能够组成一个独立、完整、安全、可靠系统。2.1. 网络整体结构华能电力网络安全系统需要包含若干电力部门,各地方网络经过专用网连接起来,网络安全经过防火墙设备和入侵检测设备实现
23、。网络整体结构以下图所表示:网络整体结构示意图2.2. 集中管理和分级管理因为华能电力网络安全系统包含网络安全设备繁多,所以在管理上面需要既能集中管理,又能够在当地进行审计管理,日志查询等操作。而用户权限机制分配必需经过网络管理中心统一分配和管理。需要集中管理网络设备包含防火墙设备、入侵检测设备和防病毒软件。在华能电力网络安全系统网络管理中心需要对各企业,电厂网络安全设备进行集中管理。分析华能电力网络安全系统特点和需求,方正方御防火墙集中管理功效和权限管理机制完全能够满足这些需求。方正方御防火墙采取基于Windows GUI用户界面进行远程集中式管理,配置管理界面直观,易于操作。能够经过一个控
24、制机对多台方正方御防火墙进行集中式管理。方正方御防火墙采取了三级权限机制,分为管理员,策略员和审计员。管理员负责防火墙开关及日常维护,策略员负责配置防火墙包过滤和入侵检测规则,审计员负责日志管理和审计中授权机制。这么她们共同负责起一个安全管理平台。华能电力网络安全系统集中管理图以下所表示:网络安全产品集中管理示意图2.3. 华能电力网络安全系统管理中心网络华能电力网络安全系统管理中心除了需要提供信息服务外,还需要对各企业和电厂网络设备进行集中管理,所以网络安全性和可靠性尤其关键。内部区放置控制服务器、数据库服务器、文件服务器、系统管理服务器等设备。华能电力网络安全系统管理中心网管工作站负责对给
25、地方企业和电厂全部安全产品进行集中管理和权利分配任务。而且安全产品审计工作也全部是在网管中心进行统计和备份。2.4. 各地方企业和电厂网络设计各地方企业和电厂网络结构节点也一样划分为内部操作(控制)区、公开信息区两个网段。对于这些网络我们提议使用以下方案:地方企业和电厂网络示意图2.5. 和Internet相连外部网络设计因为华能电力网络安全系统内网和外网是物理隔离,所以保障了内部网络安全同时,还需要对外部网络进行合适安全防护。对于外网我们提议使用以下方案:外部网络示意图3. 产品选型3.1. 防火墙选型我们采取方正最新型方正方御防火墙。方正方御防火墙是一个很优异防火墙,同时它集成强大入侵检测
26、功效。方正方御防火墙是中国第一个经过公安部公共信息网络安全监督局新防火墙认证标准包过滤级防火墙产品,同时经过了中国人民解放军安全测评认证中心、国家保密局和中国国家信息安全测评认证中心严格认证。3.1.1. 方正数码企业介绍作为方正集团互联网战略实施者,方正数码将本身定在电子商务“赋能者”,其业务包含互联网和电子商务技术研究应用和系统集成、网络市场营销服务、空间信息应用、无线互联和电子商务咨询服务等方向,以帮助政府、行业、企业、网站、电子商务运行者在互联网时代健康成功发展为己任。要给电子商务运行者赋能,先要给安全赋能。方正数码首先推出就是方正方御互联网安全处理方案。方正方御是在经过十二个月多大量
27、投入和深入研究后,提出一套基于中国国情、全部自主开发、含有领先优势处理方案。它是一套整体集群平台,能够处理互联网运行商最为关切安全性、高可靠性、可扩展性和易于远程管理问题。现在这套方案已经得到国家相关部门大力支持,被国家经贸委列为国家创新计划项目之一。另外,还得到了国家”863”计划支持。在立身自主开发外,方正数码还和众多国际著名安全企业保持着良好合作关系,并集成了中国外最优异企业安全产品,为中国Internet安全建设保驾护航。3.1.2. 产品概述方御防火墙是方正方御中关键安全产品之一。因为防火墙技术针对性很强,它已成为实现网络安全关键保障之一。方御防火墙是经过对国外防火墙产品综合分析,针
28、对我们国家具体应用环境,结合中国外防火墙领域里最新发展,在面向IDC和中小企业FireBridge防火墙基础上,提出一个含有强大信息分析功效、高效包过滤功效、多个反电子欺骗手段、多个安全方法综合利用安全可靠专用防火墙系统。方正方御防火墙不仅仅是一个包过滤防火墙,而且包含了大量实用模块,能够为用户提供多方面服务。方御防火墙保护以下模块:3.1.3. 系统特点一体化硬件设计方正方御防火墙采取了一体化硬件设计,采取了自己操作系统,无需其它操作系统支持,这么能够发挥硬件最大性能,同时也提升了系统安全性。双机热备份经过双机热备份,本系统提供可靠容错/热待机功效。备份防火墙服务器中存有主防火墙服务器设置镜
29、像,当主防火墙因为一些原因不能正常运作,备份服务器能够在12秒钟内替换主服务器运作,充足确保整个网络系统运作稳定性。完善访问控制方正方御防火墙符合国家最新防火墙安全标准,采取了三级权限机制,分为管理员,策略员和审计员。管理员负责防火墙开关及日常维护,策略员负责配置防火墙包过滤和入侵检测规则,审计员负责日志管理和审计中授权机制。这么她们共同地负责起一个安全管理平台。多个工作模式方正方御防火墙能够工作在网桥路由两种模式下,这么能够方便用户使用。使用在网桥模式时在IP层透明,使用路由模式时能够作为三个区之间路由器,同时提供内网到外网、DMZ到外网网络地址转换。防御DOS,DDOS攻击一般防火墙全部是
30、采取限制每一网络地址单位时间内经过SYN包数量来抵御DDOS攻击,不过通常网络攻击者全部会随机伪造网络地址,所以这种方法防范效果很差,不能从根本上抵御DDOS攻击。方正方御防火墙修改了TCP/IP堆栈算法,使得新syn连接包能够正常经过,避免了因为大量攻击SYN包造成网络阻塞。状态检测方正方御防火墙能够依据数据包地址、协议和端口进行访问控制,同时还对任何网络连接和会话目前状态进行分析和监控。传统防火墙包过滤只是依据规则表进行匹配,而方正方御防火墙对每个连接,作为一个数据流,经过规则表和连接表共同配合来对网络状态进行控制。代理服务用户能够设置代理服务器端口来开启代理服务器功效,而且经过设置使用代
31、理服务器用户帐号密码和访问控制来维护安全性。代理服务访问控制很完善,能够对时间、协议、方法、地址、DNS域、目标端口和URL来进行控制。用户完全能够经过设置一定条件来符合自己要求。双向网络地址转换系统支持动态、静态、双向NAT。当用户需要从内部IP访问Internet时,NAT系统会从IP池里取出一个正当Internet IP,为该用户建立映射。假如需要在Intranet提供让外部访问服务(如WWW、FTP等),NAT系统能够为Intranet里服务器建立静态映射,外部用户能够直接访问该服务器。双向网络地址转换为企业用户连接到Internet提供了良好网络地址隐蔽,而且能降低IP占用,替用户节
32、省费用。提供DMZ区除了内部网络界面和外部网络界面,系统还能够再增加一个网络界面,让管理员灵活应用。如建立DMZ(军事独立区),在其中放置公共应用服务器。带宽管理和流量统计方正方御防火墙系统使用流量统计和控制策略,可方便依据网段和主机等对流量进行统计和控制管理。用户能够经过设置源地址到目标地址单位在时间内许可经过流量和协议和端口来进行带宽控制。日志审计审计功效是方正方御防火墙很强大一个部分,现在中国防火墙审计功效全部很不完善,方正方御防火墙提供了大量审计内容和对审计内容查询功效,因为日志可能对通常见户比较难以了解,而我们将日志统计分成了若干部分,而其中每一部分全部能够进行查询和管理,这么用户就
33、能对防火墙情况有一个很透彻了解。入侵检测方正方御防火墙入侵检测系统采取了可扩展检测库方法,现在能够抵御1000多个攻击方法,而且能够经过升级检测库方法来不停抵御新攻击方法。用户还能够自定义攻击检测库来符合自己要求。自动报警和防范系统方正方御防火墙一旦检测到有黑客进行攻击,会在第一时间内在控制机上进行报警,而且同时会自动封禁掉攻击者IP地址,这么能够做到防火墙防范完全自动化,而不象一般防火墙那样需要人工干预。基于PKI授权认证方正方御防火墙授权认证是基于PKI基础之上,所以完全性极高。PKI是一个新安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)和相关公开密钥安全策略等基础成份共同
34、组成。快速安装配置方正方御防火墙安装和配置很方便,管理员只要设定好网络设备IP地址,然后使用系统提供部分经典配置模板,合适修改部分规则来符合要求。除此以外还能够添加系统提供部分子模板来实现部分特定功效。图形管理界面用户能够经过图形界面对防火墙进行配置和管理。而且也能够经过图形界面来管理审计内容,而不象有些防火墙是经过命令行方法进行配置。完全中国化设计方正方御防火墙是由方正数码自行设计和制作,充足考虑了中国国情,除了界面、帮助文档、使用说明完全汉字化外,还加入了部分小型模板用户给管理员配置防火墙。集中管理方正方御防火墙采取基于Windows GUI用户界面进行远程集中式管理,配置管理界面直观,易
35、于操作。能够经过一个控制机对多台方正方御防火墙进行集中式管理。3.1.4. 方正方御防火墙功效说明3.1.4.1. 多个工作模式方正方御防火墙能够工作在网桥和路由两种模式下:A:网桥模式:3个端口组成一个以太网交换机,防火墙本身没有IP地址,在IP层透明。能够将任意三个物理网络连接起来组成一个互通物理网络。当防火墙工作在交换模式时,内网、DMZ区和路由器内部端口组成一个统一交换式物理子网,内网和DMZ区还能够有自己第二级路由器,这种模式不需要改变原有网络拓扑结构和各主机和设备网络设置。B: 路由模式:防火墙本身组成3个网络间路由器,3个界面分别含有不一样IP地址。三个网络中主机经过该路由进行通
36、信。当防火墙工作在路由模式时,能够作为三个区之间路由器,同时提供内网到外网、DMZ到外网网络地址转换,也就是说,内网和DMZ全部能够使用保留地址,内网用户经过地址转换访问Internet,同时隔绝Internet对内网访问,DMZ区经过反向地址转换对Internet提供服务。在没有安装方正方御防火墙时候经典网络结构图以下:在安装了方正方御防火墙时候网络结构图以下:3.1.4.2. 包过滤防火墙方正方御防火墙包过滤功效是对指定IP包进行包过滤,而且根据设定策略对IP包进行统计和日志统计,关键依据IP包以下信息进行过滤:l 源IP地址l 目标IP地址l 协议类型(IP、ICMP、TCP、UDP)l
37、 源TCP/UDP端口l 目标TCP/UDP端口l ICMP报文类型域和代码域l 碎片包l 其它标志位,如SYN,ACK位3.1.4.2.1. 高效过滤有些防火墙在安装上以后对WEB服务器吞吐能力影响很大,造成性能降低。因为方正方御防火墙采取了3I(Intelligent IP Identifying)技术,能够实现快速匹配。所以方正方御防火墙不会对性能造成任何影响。方正方御防火墙优化了算法,使最大并发连接数能够达成300,000个以上,而通常防火墙最大并发连接只能够达成几万个左右。3.1.4.2.2. 碎片处理功效因为很多系统平台,包含部分路由器对IP碎片处理存在问题,轻易产生欺骗和拒绝服务
38、等攻击,方正方御防火墙能够识别出IP碎片而且进行控制,这么一来经过严禁IP碎片经过方正方御防火墙,预防了这么问题产生。3.1.4.2.3. 防SYN Flood攻击部分TCP/IP栈实现只能等候从有限数量计算机发来ACK消息,因为她们只有有限内存缓冲区用于创建连接,假如这一缓冲区充满了虚假连接初始信息,该服务器就会对接下来连接停止响应,直到缓冲区里连接企图超时。经典就是Syn Flood攻击,经过大量虚假Syn包使服务器速度变慢,甚至是死机。通常防火墙是经过限制每秒钟经过Syn包数量来组织Syn Flood攻击,这种方法能够在一定意义上阻止Syn Flood攻击,不过也有可能将正常Syn包忽略
39、掉,所以不是一个很好方法。1:没有安装方御防火墙2:安装方御防火墙方正方御防火墙使用了两种方法来反Syn Flood攻击,一个方法就是经过设置单位时间内SYN包数量来控制,另外一个方法修改了TCP/IP堆栈算法,使得新Syn包一直能够取得连接位。避免了因为大量攻击SYN包造成网络阻塞。3.1.4.2.4. 强大状态检测功效方正方御防火墙能够依据数据包地址、协议和端口进行访问控制,同时还对任何网络连接和会话目前状态进行分析和监控。传统防火墙包过滤只是和规则表进行匹配,而方正方御防火墙对每个连接,作为一个数据流,经过规则表和连接表共同配合,在继承了传统包过滤系统对应用透明特征外,还极大地提升了系统
40、性能和安全性。其它防火墙大多采取传统规则表匹配方法,伴随安全规则增加,势必会使防火墙性能大幅度降低,造成网络拥塞。3.1.4.3. IDS(入侵检测系统)3.1.4.3.1. 反端口扫描通常黑客假如要对一个网站发动攻击,首先全部要扫描目标服务器端口,确定服务器上开启服务,然后做出对应入侵方法。 方正方御防火墙入侵检测系统能够在黑客扫描网站时候就能检测到并报警,这么就能提前将黑客拒之于门外。方正方御防火墙入侵检测系统在检测到有黑客扫描服务器端口时候会立即在攻击者视野中消失,从而使黑客无法进行后面攻击。方正方御防火墙入侵检测系统依据配置文件监控任何和TCP、UDP端口连接。 能够对全部端口同时进行
41、监控,同时也能够忽略指定端口。这么就能满足不一样需求方法。3.1.4.3.2. 能够防范1500余种攻击方法1. 检测多个DoS攻击2. 检测多个DDoS攻击3. 检测保护子网中是否存在后门和木马程序4. 检测多个针对Finger服务攻击5. 检测多个针对FTP服务攻击6. 检测基于NetBIOS攻击7. 检测缓冲区溢出类型攻击8. 检测基于RPC攻击9. 检测基于SMTP攻击10. 检测基于Telnet攻击11. 检测网络上传输病毒和蠕虫12. 检测CGI攻击13. 检测针对WEB ServerFrontPage扩展进行攻击14. 检测针对WEB ServerColdFusion扩展进行攻击
42、15. 检测针对 MicroSoft IIS server进行攻击16. 检测利用ICMP进行扫描和攻击。17. 检测利用Traceroute对网络探测18. 检测ActiveX,JaveApplet传输19. 检测对其它可能网络服务进行攻击3.1.4.3.3. 在线升级和实时报警因为入侵检测系统库文件是需要不停更新,所以方正方御防火墙提供了很方便升级接口,能够经过我们网站进行在线升级,而且我们提供了很方便用户升级界面,使升级工作能够很方便完成。报警是否能够立即是衡量一个入侵检测系统关键原因之一,假如在黑客刚刚进行攻击时候就能够做出响应,那么管理员会有足够时间进行防护。 方正方御防火墙报警系统
43、和入侵检测系统协调工作几乎是一致,一旦入侵检测系统检测到攻击,报警系统会立即做出反应,经过Email或手机通知管理员。同时会开启自动防范系统进行防范。3.1.4.3.4. 入侵检测和防火墙互动经过通信行为跟踪,防火墙能够检测到对网络多个扫描,检测到对网络攻击行为,并能够对攻击行为进行响应,包含自动防范及用户自定义安全响应策略等。3.1.4.4. 双机热备方正方御防火墙系统能够在网络中智能地寻求和其对等备份机,而且使备份机自动进入等候状态,而一旦备份机发觉主工作机失效,可立即自动开启,预防网络中止事故发生。 其智能识别技术甚至能够支持多于两台以上方正方御防火墙在网络上互为备份,适适用于对可靠性要
44、求极高场所。3.1.4.5. 强大审计功效审计功效是方正方御防火墙很强大一个部分,现在中国防火墙审计功效全部很不完善,方正方御防火墙提供了大量审计内容和对审计内容查询功效,因为日志可能对通常见户比较难以了解,而我们将日志统计分成了若干部分,而且就每一个部分全部是能够进行查询和管理,这么一来就能够使用户对防火墙情况有一个很透彻了解。方正方御防火墙中审计功效有着很完善权限管理,有专门审计员来对审计内容进行管理,在审计中又分成了若干等级权限。这么能够方便管理员管理审计内容。3.1.4.6. 基于PKI高级授权认证PKI(Public Key Infrastructure)是一个新安全技术,它由公开密
45、钥密码技术、数字证书、证书发放机构(CA)和相关公开密钥安全策略等基础成份共同组成。PKI是利用公钥技术实现电子商务安全一个体系,是一个基础设施,网络通讯、网上交易是利用它来确保安全。从某种意义上讲,PKI包含了安全认证系统,即安全认证系统-CA/RA系统是PKI不可缺组成部分。网络,尤其是Internet网络安全应用已经离不开 PKI技术支持。网络应用中机密性、真实性、完整性、不可否认性和存取控制等安全需 求只有PKI技术才能满足。PKI在国外已经开始实际应用。在美国,伴随电 子商务日益兴旺,电子署名、数字证书已经在实际中得到了一定程度应用,就连一些国家全部已经开始接收电子署名档案。方正方御
46、防火墙授权认证是基于PKI基础之上,所以完全性极高。有些防火墙认证机制采取OTP(Once Time Password),或采取了静态口令机制。比如说,静态密码是用户和机器之间共知一个信息,而其它人不知道,这么用户若知道这个口令,就说明用户是机器所认为那个人,那么就很轻易控制防火墙。而一次性口令也一样,用户和机器之间必需共知一条通行短语,而这通行短语对外界是完全保密。和静态口令不一样是,这个通行短语并不在网络上进行传输,所以黑客经过网络窃听是不可能。当初使用起来没有使用证书认证方便。所以方正方御防火墙基于PKI高级授权认证机制在技术上面很优异,超越了大部分防火墙产品。3.1.4.7. 集中管理
47、依据美国财经杂志统计资料表明,30%入侵发生在有防火墙情况下,这些入侵关键原因并非是防火墙无用,而是因为通常防火墙管理及配置相当复杂,要想成功维护防火墙,要求防火墙管理员对网络安全攻击手段及其和系统配置关系有相当深刻了解,而且防火墙安全策略无法进行集中管理,这些全部造成了网络安全失败。而方正方御防火墙采取基于Windows GUI用户界面进行远程集中式管理,配置管理界面直观,易于操作。能够经过一个控制机对多台方正方御防火墙进行集中式管理。3.2. 入侵检测产品选型对于入侵检测产品我们选择启明星辰信息技术天阗(tian)黑客入侵检测系统。3.2.1. 启明星辰企业介绍启明星辰企业自1996年成立以来,已经开发了黑客防范和反攻击产品线、采取国际著名厂商芬兰F-Secure企业杀毒技术形成网络病毒防杀产品线、以网站安全扫描和个人主机保护为代表网络安全管理产品线,和几大产品线之间互动网络资源管理平台,成为含有自主知识产权